Brave开源Cookiecrumbler智能过滤Cookie通知
发布时间 2025-04-281. Brave开源Cookiecrumbler智能过滤Cookie通知
4月27日,Brave开源了一款名为“Cookiecrumbler”的新工具,用于检测并优化处理cookie同意通知。自2022年起,Brave浏览器便默认在所有网站上阻止cookie同意横幅,但发现此举可能导致网站出现功能问题,影响可用性。Brave解释称,过于宽泛或不正确的阻止策略可能破坏网站基本功能,如结账流程和页面布局。在实际应用中,不加区分地阻止Cookie同意通知已引发滚动中断、页面空白等问题。Cookiecrumbler利用大型语言模型(LLM)技术,查找使用同意管理平台(CMP)的网站,并分析其cookie同意通知。该工具通过社区驱动的评论机制,阻止那些不会破坏网站功能的通知,从而在保护用户隐私的同时,减少对网站正常运行的干扰。其工作流程包括:使用区域代理抓取顶级网站,通过Puppeteer加载页面以识别潜在cookie通知,将这些通知传递给LLM进行分类并提供修复建议,最后将检测结果发布至GitHub项目,供社区分类和改进。这一流程确保了大规模、区域感知的cookie横幅检测和阻止,同时降低了误报率和站点问题。在隐私保护方面,Cookiecrumbler完全在Brave后端运行,不涉及任何用户数据。
https://www.bleepingcomputer.com/news/security/braves-cookiecrumbler-tool-taps-community-to-help-block-cookie-notices/
2. WooCommerce用户遭仿冒安全警报钓鱼攻击
4月26日,近日,一场大规模网络钓鱼活动针对WooCommerce用户展开,通过发送虚假安全警报邮件,诱导其下载所谓“关键补丁”以修复“未经身份验证的管理访问”漏洞。邮件冒充WooCommerce官方,使用“help@security-woocommerce[.]com”地址,声称网站面临黑客攻击风险,并附有紧急下载补丁的按钮及安装说明,以制造紧迫感。用户点击按钮后,将被引导至一个仿冒的“woocomm?rce[.]com”网站(该域名利用同形异义词攻击技术,将字母“e”替换为立陶宛字符“?”),下载并安装名为“authbypass-update-31297-id.zip”的恶意插件。该插件安装后,会创建一个每分钟运行一次的随机cronjob,试图添加隐藏管理员账户,并向特定URL注册受感染站点,获取第二阶段混淆有效负载,进而在网站目录下安装多个PHP Web Shell(如PAS-Form、p0wny和WSO),使攻击者能够完全控制网站,进行广告注入、用户重定向、DDoS攻击、支付卡信息窃取或勒索软件加密等恶意活动。为逃避检测,该插件还会从可见插件列表中删除自身,并隐藏恶意账户。Patchstack研究人员指出,此次活动与2023年末针对WordPress用户的类似攻击存在关联,均使用了一组不寻常的Web Shell、相同的有效载荷隐藏方法及相似的邮件内容。
https://www.bleepingcomputer.com/news/security/woocommerce-admins-targeted-by-fake-security-patches-that-hijack-sites/
3. 西新墨西哥大学遭麒麟黑客组织勒索攻击
4月27日,近两周来,西新墨西哥大学(WNMU)网站及数字系统持续遭受网络攻击,据新墨西哥州探照灯公司获取的文件显示,攻击者疑为臭名昭著的俄语黑客组织“麒麟”(Qilin),该组织因运营“勒索软件即服务”而闻名,手段恶劣且不择手段。此次攻击导致学校网站无法向公众开放,教职员工和学生虽能通过第三方平台如Canvas进行部分教学活动,但连接互联网的课堂工具如打印机、投影仪等无法使用。一名员工电脑屏幕显示来自“麒麟”的勒索信息,声称已获取包括员工个人数据、简历、驾照、社保号码及网络地图等敏感信息,并要求支付赎金,否则将泄露数据。4月25日,WNMU发薪日当天,计时员工和学生员工表示未收到直接存款,校方称问题源于文件上传银行的意外复杂情况,部分员工可能面临进一步延迟,并承诺退还因延迟产生的透支费用。高等教育部门发言人表示,机构正与州信息技术部合作评估问题,WNMU已开展正式调查以确定事件范围并采取补救措施。学校已寻求私人网络安全公司帮助,并为学生提供Canvas访问指导,同时保持校园开放,但互联网、电子邮件等连接仍无法使用。
https://databreaches.net/2025/04/27/russian-linked-hackers-appear-to-have-launched-a-crippling-cyberattack-on-western-new-mexico-university/
4. 微软揭露Storm-1977针对教育云租户的密码喷洒攻击
4月27日,微软近日披露,其追踪的威胁行为者Storm-1977在过去一年中针对教育领域云租户发起了密码喷洒攻击。微软威胁情报团队分析指出,此次攻击利用了名为AzureChecker.exe的命令行界面(CLI)工具,该工具被多个威胁行为者广泛使用。攻击过程中,该二进制文件会连接至外部服务器“sac-auth.nodefunction[.]vip”,以获取AES加密的密码喷洒目标列表。此外,该工具还接受包含用户名和密码组合的“accounts.txt”文本文件作为输入,威胁行为者利用这两个文件中的信息,对目标租户进行凭证验证。在雷德蒙德观察到的一起成功入侵案例中,威胁行为者利用来宾帐户在受感染订阅中创建资源组,并进一步在组内创建200多个容器,意图进行非法加密货币挖掘。微软强调,容器化资产如Kubernetes集群、容器注册表和镜像等易受多种攻击,包括利用泄露的云凭证进行集群接管、利用存在漏洞和错误配置的容器镜像执行恶意操作、通过错误配置的管理接口访问Kubernetes API并部署恶意容器或劫持整个集群,以及在节点上运行易受攻击的代码或软件。
https://thehackernews.com/2025/04/storm-1977-hits-education-clouds-with.html
5. Commvault Innovation Release严重漏洞需紧急修复
4月25日,企业需紧急应对Commvault Innovation Release严重漏洞CVE-2025-34028。该漏洞存在于Commvault Command Center企业级备份与数据管理解决方案内,CVSS评分高达9.0,攻击者无需登录即可远程执行任意代码,进而获取系统完全控制权。漏洞成因是“deployWebpackage.do”Web接口组件未对外部服务器进行有效验证,使其易遭受预认证服务器端请求伪造(SSRF)攻击。攻击者可利用此漏洞发送特制ZIP压缩包(内含恶意“.JSP”文件),通过精心设计请求参数,将恶意文件转移至可公开访问位置并触发执行,达成远程代码执行目的。该漏洞由watchTowr Labs研究员于2025年4月7日发现并上报,Commvault在4月17日安全公告中承认其严重性,指出该漏洞可能导致Command Center环境全面失陷,进而泄露敏感数据并中断关键业务。此漏洞仅影响Linux和Windows平台“Innovation Release”软件版本11.38.0至11.38.19,企业将系统升级至11.38.20或11.38.25版本即可完成修复。
https://hackread.com/critical-commvault-flaw-allows-full-system-takeover/
6. 朝鲜黑客通过空壳公司传播恶意软件
4月25日,与朝鲜关联的威胁行为组织“Contagious Interview”被曝通过虚假招聘流程设立空壳公司分发恶意软件。网络安全公司Silent Push深度分析发现,该组织在最新活动中利用加密货币咨询行业的BlockNovas LLC、Angeloper Agency和SoftGlide LLC三家空壳公司,以“面试诱饵”传播BeaverTail、InvisibleFerret和OtterCookie三种已知恶意软件家族。此次攻击是朝鲜策划的多起招聘主题社会工程攻击之一,攻击者以编程任务或解决视频面试技术问题为借口,诱导目标下载跨平台恶意软件。此次攻击呈现升级态势:空壳公司网络方面,BlockNovas LLC虽宣称有14名员工,但多数档案伪造,且公司注册时间与宣称的运营年限不符;社交媒体伪装上,攻击者在多个平台创建虚假账户扩大传播;攻击链则采用多阶段设计,BeaverTail作为JavaScript窃取器/加载器,通过特定域名建立C2通信并投递下一阶段载荷,InvisibleFerret为Python后门,支持多平台持久化并可窃取敏感数据,OtterCookie则部分通过同一JS载荷分发。此外,BlockNovas子域名托管“状态仪表盘”监控相关域名,且子域名运行开源密码破解系统,部分域名还托管加密货币钱包工具。
https://thehackernews.com/2025/04/north-korean-hackers-spread-malware-via.html
京公网安备11010802024551号